2016/06/15
誌面情報 vol55
実際、国内では、災害が起きるたびに情報システムが大きな被害を受けてきた。東日本大震災では「停電や通信のトラブルにより、ネットワークが長期間使えなくなった」「自家発電装置の燃料切れでシステムがダウンした」「サーバそのものが被災してデータの復旧が困難になった」「地震の揺れによりスプリンクラーが作動しPC端末やサーバが被災した」などの被害が数多く報告されている。
今回の熊本地震でも、現地の復旧にあたっているシステム会社の担当者によれば、PCの落下事故や、スプリンクラーの誤作動による被害が多発し、行政機関でも主要な防災システムが地震の揺れで被災したという事例も出ているそうだ。
こうした災害への備えとしては、一般的には、①BCPにおける優先業務を支える重要な情報システムを可視化、②仮に被災した際の目標復旧時間と、どのシステムをいつまで前のどのレベルまで戻すか目標復旧レベルをそれぞれ設定、③重要システムの構成・構造を明確化(PC、サーバ、LANケーブル、ルーター、電源、WI-FIなど)、④システムが抱える脆弱性を評価、⑤目標復旧時間内に再開・継続できるよう対策を検討・実施、という視点が求められる。
ところが、サイバー攻撃を想定した場合は、こうした視点で対策を行っていたとしても、スムーズな対応ができるとは限らない。そもそも被害を受けている場所や被害の範囲を特定することが難しく、被害状況を分析することが極めて困難となる。例えば、マルウェアが侵入して個人情報や機密情報が漏えいしているような場合、どれだけ個人情報が流出してしまっているのか、そもそも原因がサイバー攻撃かどうか判明させることも容易ではない。最近流行しているランサムウェアなら、反社会勢力になりうる敵に費用を払ってまでシステムを継続させるのか、解決策が見つかるまで復旧をあきらめるのか、難しい判断に迫られる。
こうした点について、2012年に経済産業省が出した「ITサービス継続ガイドライン(改訂版)」では、『ITサービス継続について、情報セキュリティに求められる「情報の機密性」「完全性」および「可用性」の中で、ITサービス継続は、主に「可用性」の維持に関係するものとして位置付けることができる』とした上で、『緊急時においては、ITサービス継続が主眼とする「可用性」の側面と「機密性」「完全性」の両立が困難な場合も想定されるが、企業の社会的責任や企業経営などの視点から合理的な判断に基づき、より重要と考えられる概念が優先されるべき』としている。
「ITサービス継続ガイドライン(改訂版)」
http://www.meti.go.jp/policy/netsecurity/docs/secgov/2011_IoformationSecurityServiceManagementGuidelineKaiteiban.pdf
つまり、システムを継続することを前提としながらも、情報漏えいや、データの損失を食い止めるためには、時としてシステムを止めるなど、BCPとは相反する決断が必要なケースもあり得ることを示唆している。
誌面情報 vol55の他の記事
おすすめ記事
-
-
-
3線モデルで浸透するリスクマネジメントコンプライアンス・ハンドブックで従業員意識も高まる【徹底解説】パーソルグループのERM
「はたらいて、笑おう。」をグループビジョンとして掲げ、総合人材サービス事業を展開するパーソルグループでは、2020年のグループ経営体制の刷新を契機にリスクマネジメント活動を強化している。ISO31000やCOSO-ERMを参考にしながら、独自にリスクマネジメントの体制を整備。現場の業務執行部門(第1線)、ITや人事など管理部門(第2線)、内部監査部門(第3線)でリスクマネジメントを推進する3線モデルを確立した。実際にリスクマネジメント活動で使っているテンプレートとともに、同社の活動を紹介する。
2024/07/23
-
インシデントの第一報を迅速共有システム化で迷い払拭
変圧器やリアクタなどの電子部品や電子化学材料を製造・販売するタムラ製作所は、インシデントの報告システム「アラームエスカレーション」を整備し、素早い情報の伝達、収集、共有に努めている。2006年、当時社長だった田村直樹氏がリードして動き出した取り組み。CSRの一環でスタートした。
2024/07/23
-
「お困りごと」の傾聴からはじまるサプライヤーBCM支援
ブレーキシステムの開発、製造を手掛けるアドヴィックスは、サプライヤーを訪ね、丁寧に話しを聞くことからはじまる「BCM寄り添い活動」を2022年度から展開している。支援するのは小規模で経営体力が限られるサプライヤー。「本当に意味のある取り組みは何か」を考えながら進めている。
2024/07/22
-
-
危機管理担当者が知っておくべきハラスメントの動向業務上の指導とパワハラの違いを知る
5月17日に厚生労働省から発表された「職場のハラスメントに関する実態調査報告書」によると、従業員がパワハラやセクハラを受けていると認識した後の勤務先の対応として、パワハラでは約53%、セクハラでは約43%が「特に何もしなかった」と回答。相談された企業の対応に疑問を投げかける結果となった。企業の危機管理担当者も知っておくべきハラスメントのポイントについて、旬報法律事務所の新村響子弁護士に聞いた。
2024/07/18
-
基本解説 Q&A 線状降水帯とは何か?集中豪雨の3分の2を占める日本特有の現象
6月21日、気象庁が今年初の線状降水帯の発生を発表した。短時間で大量の激しい雨を降らせる線状降水帯は、土砂災害発生を経て、被害を甚大化させる。気象庁では今シーズンから、半日前の発生予測のエリアを細分化し、対応を促す。線状降水帯研究の第一人者である気象庁気象研究所の加藤輝之氏に、研究の最前線を聞いた。
2024/07/17
-
-
災害リスクへの対策が後回しになっている円滑なコミュニケーション対策を
目を向けるべきOTリスクは情報セキュリティーのほかにもさまざま。故障や不具合といった往年のリスクへの対策も万全ではない。特に、災害時の素早い復旧に向けた備えなどは後回しになっているという。ガートナージャパン・リサーチ&アドバイザリ部門の山本琢磨氏に、OTの課題を聞いた。
2024/07/16
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方